US-Transfer-TIA-Dokumentation
Zweck
Dieser Skill erstellt ein belastbares Dokumentationspaket für personenbezogene Datenübermittlungen in die USA. Er ist für Kanzleien, Datenschutzbeauftragte und Rechtsabteilungen gedacht, die gegenüber einer deutschen Aufsichtsbehörde zeigen müssen: Transfer identifiziert, Rechtsgrundlage gewählt, DPF-Listing geprüft, Alternativpfad SCC/BCR/TIA sauber dokumentiert, technische und organisatorische Maßnahmen bewertet, Wiedervorlage gesetzt.
Wichtige Grundregel: Safe Harbor und EU-US Privacy Shield sind keine aktuelle Transfergrundlage. Sie werden nur als historische Einordnung oder Altlastenprüfung dokumentiert. Aktuelle Pfade sind insbesondere Art. 45 DSGVO über den EU-US Data Privacy Framework-Angemessenheitsbeschluss bei teilnehmenden US-Organisationen, Art. 46 DSGVO mit Standardvertragsklauseln/BCR plus TIA oder im Ausnahmefall Art. 49 DSGVO.
Wann verwenden?
- Ein US-SaaS-, Cloud-, KI-, Support- oder Analyseanbieter verarbeitet personenbezogene Daten.
- Ein Anbieter behauptet DPF-Zertifizierung, aber Produkt, Konzernunternehmen, HR-Daten oder Subprozessoren sind unklar.
- Eine Aufsichtsbehörde fragt nach Drittlandtransfer, Schrems-II-Prüfung oder ergänzenden Maßnahmen.
- Ein AVV, DPA, SaaS-Vertrag oder Einkaufsvorgang braucht ein dokumentiertes Transfer Impact Assessment.
- Ein Altsystem berief sich früher auf Safe Harbor oder Privacy Shield und muss bereinigt werden.
Intake
Frage nur fehlende Punkte ab. Wenn Unterlagen vorliegen, zuerst aus den Dokumenten extrahieren.
| Punkt | Konkret abfragen oder extrahieren |
|---|---|
| Exporteur | Verantwortlicher/Auftragsverarbeiter, Sitz, zuständige Aufsichtsbehörde, Rolle im Transfer |
| Importeur | US-Rechtsträger, Adresse, Mutter-/Tochtergesellschaft, DPF-Name, Produktname |
| Daten | Kategorien personenbezogener Daten, besondere Kategorien Art. 9 DSGVO, Beschäftigtendaten, Mandantendaten |
| Zwecke | Hosting, Support, Fernwartung, Analyse, KI-Training, Ticketing, CRM, Sicherheit, Abrechnung |
| Zugriff | Speicherung USA, Remote Access, Subprozessoren, Support Level, Zugriff durch US-Personen |
| Transferpfad | DPF, SCC Modul 1-4, BCR, Art. 49, Kombination |
| Unterlagen | AVV/DPA, SCC, TOMs, Subprozessorliste, DPF-Auszug, Security Whitepaper, Datenschutzhinweise |
| Frist | Behördenfrist, Vertragsdeadline, Go-live, Incident, Audit-Termin |
Prüf- und Arbeitsworkflow
1. Transferlandkarte
Erstelle zuerst eine Tabelle:
| Verarbeitung | Datenexporteur | Datenimporteur | Land | Datenarten | Zweck | Empfänger/Subprozessor | Transferinstrument | Status |
|---|
Markiere getrennt:
- Primärtransfer in die USA.
- Onward Transfers zu Subprozessoren.
- Reiner Zugriff aus den USA auf EU-gehostete Daten.
- Konzerninterne Transfers.
- Support-/Fernwartungssituationen.
2. DPF-Listing-Check
Prüfe und dokumentiere:
- Exakter Name des US-Rechtsträgers in der offiziellen DPF-Liste.
- Status aktiv/inaktiv, Zertifizierungsdatum und Re-Zertifizierungsdatum.
- Abdeckung EU-US DPF, nicht nur Swiss-US oder UK Extension.
- Abdeckung der relevanten Datenkategorien, insbesondere HR-Daten.
- Abdeckung des konkreten Produkts oder Dienstes, soweit aus DPF-Eintrag, Datenschutzerklärung und Vertrag ersichtlich.
- Beschwerdemechanismus, unabhängige Streitbeilegung und Kontaktstellen.
- Onward-Transfer-Regeln und Subprozessoren.
- Screenshot-/PDF-/Abrufnachweis mit Datum und Bearbeiter.
Bewertung:
DPF tragfähig: Exakter Importeur ist aktiv gelistet und der konkrete Transfer ist abgedeckt.DPF nur teilweise tragfähig: Konzernmutter gelistet, Produkt/Tochter/HR-Daten/Subprozessoren unklar.DPF nicht tragfähig: Kein aktiver Eintrag oder Transfer außerhalb der Abdeckung.
3. Schrems-Historie sauber einordnen
Für die Akte:
- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
- EU-US Data Privacy Framework: aktueller Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023; nutzbar nur für teilnehmende US-Organisationen im sachlichen Umfang der Zertifizierung.
Formuliere nie, dass Safe Harbor oder Privacy Shield heute eine gültige Rechtsgrundlage seien.
4. Alternativpfad SCC/BCR/TIA
Wenn DPF nicht eindeutig trägt, prüfe:
- SCC Modul 1: Verantwortlicher an Verantwortlichen.
- SCC Modul 2: Verantwortlicher an Auftragsverarbeiter.
- SCC Modul 3: Auftragsverarbeiter an Auftragsverarbeiter.
- SCC Modul 4: Auftragsverarbeiter an Verantwortlichen.
- BCR, wenn konzerninterne genehmigte Regeln nachweislich passen.
- Art. 49 DSGVO nur eng und ausnahmsweise; nicht als Dauerlösung.
Verweise für die konkrete SCC-Ausarbeitung auf standardvertragsklauseln-scc-paket.
5. Transfer Impact Assessment
Dokumentiere entlang dieser Struktur:
| Kapitel | Inhalt |
|---|---|
| A. Transferbeschreibung | Wer übermittelt was, wohin, zu welchem Zweck, wie oft und über welche Infrastruktur? |
| B. Transferinstrument | DPF, SCC/BCR oder Ausnahme; Begründung und Nachweise |
| C. Drittlandsrecht und Praxis | Relevante Zugriffsbefugnisse, Importeurangaben, Transparenzberichte, Warrant-Canary/Policy, tatsächliche Zugriffserfahrung |
| D. Risiko für Betroffene | Datenart, Sensibilität, Menge, Identifizierbarkeit, Schutzbedarf, mögliche Schäden |
| E. Ergänzende Maßnahmen | Verschlüsselung, Key Management in EU/EWR, Pseudonymisierung, Zugriffsbeschränkung, Logging, Challenge Policy, Transparenz |
| F. Restrestrisiko | Ampel, Begründung, offene Punkte, Entscheidungsträger |
| G. Wiedervorlage | Trigger: Zertifizierungsablauf, neue Subprozessoren, Produktänderung, Behördenpraxis, EuGH/EDSA-Update |
6. Ergebnislogik
Gib immer ein klares Ergebnis aus:
- Freigabe möglich: Transferinstrument trägt, Dokumente vollständig, Restrestrisiko vertretbar.
- Freigabe mit Auflagen: Nachbesserungen nötig, z. B. SCC-Anlagen, Key Management, Subprozessor-Auskunft, DPF-Nachweis.
- Stop bis Klärung: Importeur nicht identifizierbar, DPF nicht tragfähig, keine SCC, hohes ungemindertes Risiko.
- Legacy-Bereinigung: Alte Safe-Harbor-/Privacy-Shield-Dokumentation ablösen, neue Grundlage festlegen.
Output-Paket
Erzeuge auf Wunsch ein zusammenhängendes Paket:
- Kurzvermerk für Geschäftsführung oder Mandant mit Entscheidung und Restfragen.
- Transferregister-Auszug nach Verarbeitungstätigkeit.
- DPF-Prüfvermerk mit Abrufdatum, Treffer, Scope und Lücken.
- TIA-Vollvermerk mit Maßnahmenmatrix.
- SCC/BCR-Verweisblatt mit Modulwahl und Anlagenstatus.
- TOM- und Supplementary-Measures-Anlage.
- Antwortbaustein für Aufsichtsbehörde.
- Wiedervorlage- und Monitoringplan.
Qualitätsregeln
- Keine erfundenen DPF-Listungen. Wenn nicht live geprüft, Ausgabe als
nicht verifiziertkennzeichnen. - Keine pauschale Aussage "USA immer unzulässig" oder "DPF immer ausreichend".
- Keine SCC umschreiben. Die offiziellen Klauseln unverändert verwenden; nur Modulwahl, Anlagen und Dokumentation vorbereiten.
- Beschäftigtendaten und Mandats-/Berufsgeheimnisdaten gesondert markieren.
- Bei KI-Diensten zusätzlich
mandantendaten-ki,ki-verordnung-complianceoderki-vo-ai-act-pruefervorschlagen.
Quellen und Aktualität
- Stand: 05/2026.
- DSGVO Art. 44-49.
- EU-Kommission: EU-US Data Privacy Framework, Angemessenheitsbeschluss vom 10.07.2023.
- Offizielle DPF-Liste: Data Privacy Framework Program, Participant Search.
- EU-Kommission: Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914.
- EDSA: Recommendations 01/2020 zu ergänzenden Maßnahmen, Final Version 18.06.2021.